2.1. SGD 服务器要求和支持

本节介绍了 SGD 服务器支持的平台和要求。

2.1.1. SGD 的硬件要求

以下硬件要求应用作指导,而不是用作准确的衡量工具。要获得与硬件要求有关的详细帮助信息,请与 Oracle 销售办公室联系。

对 SGD 托管服务器的要求应根据以下方面综合考虑:

  • 安装和运行 SGD 所需要的条件

  • 每个用户登录到主机上的 SGD 并运行应用程序所需要的条件

以下是安装和运行 SGD 的要求:

  • 2 千兆字节的可用磁盘空间

  • 2 千兆字节的 RAM

  • 1 千兆赫处理器

  • 网络适配卡

这是在操作系统本身所需条件的基础上额外需要的,并假定服务器仅用于 SGD。

以下是支持用户登录到 SGD 并运行应用程序的要求:

  • 每个用户最少 50 兆字节

  • 每个用户 50 兆赫

小心

实际的中央处理器 (central processing unit, CPU) 和内存要求可能会根据所使用的应用程序而有很大不同。

2.1.2. SGD 支持的安装平台

下表列出了 SGD 支持的安装平台。

操作系统

支持的版本

SPARC 平台上的 Oracle Solaris

Oracle Solaris 10 发行版 10/09(更新 8)或更高版本 [a]

以上的 Trusted Extensions 版本

x86 平台上的 Oracle Solaris

Oracle Solaris 10 发行版 10/09(更新 8)或更高版本 [a]

以上的 Trusted Extensions 版本

Oracle Linux(32 位和 64 位)

5.5、5.6、5.7

[a] 不支持 Oracle Solaris 11

在 Oracle Linux 上得到认证的 Oracle 产品也会在 Red Hat Enterprise Linux 上得到认证和支持,因为这两个分发版本之间存在隐式兼容。Oracle 未在 Red Hat Enterprise Linux 产品上运行任何其他测试。

2.1.2.1. 操作系统修改

您可能必须对操作系统进行一些修改。如果不进行这些修改,SGD 可能无法正确安装或正常运行。

2.1.2.1.1. 5250 和 3270 应用程序

libXm.so.3 库是支持 5250 和 3270 应用程序所必需的。此库在 OpenMotif 2.2 软件包中提供。

2.1.2.1.2. Oracle Solaris 10

您至少必须安装最终用户 Oracle Solaris 分发才能获得 SGD 所需的库。如果未安装,SGD 将无法安装。

Oracle Solaris 10 的 TCP 熔合功能可能会导致 SGD 所使用的某些本地套接字连接出现问题。请在安装 SGD 前按如下所述禁用 TCP 熔合功能:

  1. 将以下行添加到 /etc/system 文件的底部。

    set ip:do_tcp_fusion = 0x0
  2. 重新引导服务器。

2.1.2.1.3. Oracle Linux

Oracle Linux 的默认 /etc/hosts 文件仅包含一个条目,该条目错误地将 SGD 主机的主机名映射为本地回送地址 127.0.0.1

编辑 /etc/hosts 文件以删除此映射,并添加一个新条目,将 SGD 的主机名映射到 SGD 主机的网络 Internet 协议 (Internet Protocol, IP) 地址。SGD 主机名不能映射为本地回送 IP 地址。

2.1.2.2. 虚拟化支持

Oracle 虚拟化环境支持 SGD,可以在其中安装此软件。如果使用不受支持的虚拟环境时遇到问题,您可能要在非虚拟化的操作系统中验证问题以确保问题与虚拟化产品无关。

Oracle Solaris 10 支持在区域中安装。SGD 可以安装在全局区域中或者一个或多个非全局区域中。不支持同时安装在全局区域和非全局区域中。

在 Oracle Solaris 10 Trusted Extensions 平台上,必须在有标签区域中安装 SGD。不要将 SGD 安装在全局区域中。

2.1.2.3. 已停止使用的受支持 SGD 安装平台

下表显示了已停止使用的 SGD 安装平台。

SGD 版本

不再支持的平台

4.60

OpenSolaris(所有版本)

Red Hat Enterprise Linux 5.0 到 5.4

Solaris 10 OS,直到(包括)Solaris 10 5/09

SUSE Linux Enterprise Server 10

2.1.3. 支持的升级路径

仅支持从以下版本升级到 SGD 版本 4.63:

  • Oracle Secure Global Desktop 软件版本 4.62.913

  • Oracle Secure Global Desktop 软件版本 4.61.915

  • Oracle Secure Global Desktop 软件版本 4.60.911

  • Sun Secure Global Desktop 软件版本 4.50.933

如果要从任何其他版本的 SGD 升级,请与 Oracle 技术支持人员联系。

2.1.4. Java 技术版本

下表显示了 SGD 中所包含的 JDK 版本。

SGD 版本

JDK 版本

4.63

1.6.0_43

4.62

1.6.0_29

4.61

1.6.0_24

4.60

1.6.0_21

2.1.5. 所需用户和特权

要安装 SGD,必须拥有超级用户 (root) 特权。

在可以安装 SGD 之前,系统上必须具有 ttaservttasys 用户以及 ttaserv 组。

ttasys 用户拥有 SGD 服务器所使用的所有文件和进程。ttaserv 用户拥有 SGD Web 服务器所使用的所有文件和进程。

SGD 服务器不需要超级用户 (root) 特权即可运行。SGD 服务器需要以 root 用户身份启动,然后降级到 ttasys 用户。

如果在这些用户和组未就绪的情况下尝试安装该软件,安装程序将停止,不对系统进行任何更改,并显示一条消息告知您所需采取的措施。此消息包含一个安装脚本的详细信息,您可以运行该脚本以创建所需的用户和组。

如果您需要手动创建所需的用户和组,必须遵循以下要求:

  • 用户名必须是 ttaservttasys

  • 组名必须是 ttaserv

  • 您可以使用任意用户标识号 (user identification number, UID) 或组 ID (group ID, GID)。UIDGID 可以不同。

  • 这两个用户都必须将 ttaserv 设为其主组。

  • 这两个用户必须具有一个有效的 shell,例如 /bin/sh

  • 这两个用户必须具有可写的起始目录。

  • 为了安全起见,请锁定这些帐户(例如,使用 passwd -l 命令)。

创建这些用户的一种方式是使用 useraddgroupadd 命令,例如:

# groupadd ttaserv
# useradd -g ttaserv -s /bin/sh -d /home/ttasys -m ttasys
# useradd -g ttaserv -s /bin/sh -d /home/ttaserv -m ttaserv
# passwd -l ttasys
# passwd -l ttaserv

要检查系统上是否正确设置了 ttasysttaserv 用户帐户,请使用以下命令。

# su ttasys -c "/usr/bin/id -a"
# su ttaserv -c "/usr/bin/id -a"

如果系统设置正确,该命令的输出将类似于以下示例。

uid=1002(ttaserv) gid=1000(ttaserv) groups=1000(ttaserv)
uid=1003(ttasys) gid=1000(ttaserv) groups=1000(ttaserv)

2.1.6. 网络要求

必须配置网络以供 SGD 使用。以下是主要要求:

  • 主机必须具有可被所有客户端解析的域名系统 (Domain Name System, DNS) 条目。

  • 使用 DNS 查找和反向查找主机必须始终成功。

  • 所有客户端设备都必须使用 DNS。

  • 安装 SGD 时,系统将询问您要用于 SGD 服务器的 DNS 名称。DNS 名称必须符合以下要求:

    • 在包含防火墙的网络中,请使用可将 SGD 主机标识为位于防火墙内部的 DNS 名称。

    • 始终使用 SGD 主机的全限定 DNS 名称。例如,boston.example.com

Oracle Secure Global Desktop 4.6 Administration Guide》中包含有关 SGD 所使用的所有端口以及如何在有防火墙的条件下使用 SGD 的详细信息。下面列出了常用端口。

客户端设备必须能够与以下 TCP 端口上的 SGD 建立传输控制协议/Internet 协议 (Transmission Control Protocol/Internet Protocol, TCP/IP) 连接。

  • 80-用于客户端设备与 SGD Web 服务器之间的 HTTP 连接。端口号可能会因安装时所选的端口而有所不同。

  • 443-用于客户端设备与 SGD Web 服务器之间的通过安全套接字层的 HTTP (HTTP over Secure Sockets Layer, HTTPS) 连接。

  • 3144-用于 SGD Client 与 SGD 服务器之间的标准(非加密)连接。

  • 5307-用于 SGD Client 与 SGD 服务器之间的安全连接。安全连接使用安全套接字层 (Secure Sockets Layer, SSL)。

注意

SGD 客户端与 SGD 服务器之间的初始连接始终是安全连接。在用户登录到 SGD 后,该连接将降级为标准连接。第一次安装 SGD 时,必须打开 TCP 端口 3144 和 5307 以连接到 SGD。您可以将 SGD 配置为始终使用安全连接。

要运行应用程序,SGD 必须能够与应用服务器建立 TCP/IP 连接。应用程序的类型决定了必须要打开的 TCP 端口,例如:

  • 22-用于使用安全 Shell (Secure Shell, SSH) 的 X 应用程序和字符应用程序

  • 23-用于使用 Telnet 的 Windows 应用程序、X 应用程序和字符应用程序

  • 3389-用于使用 Windows 终端服务的 Windows 应用程序

  • 6010 及以上-用于 X 应用程序

2.1.7. 时钟同步

在 SGD 中,阵列是一个共享配置信息的 SGD 服务器集合。因为阵列中的各个 SGD 服务器共享有关用户会话和应用程序会话的信息,同步不同 SGD 主机上的时钟就变得非常重要。使用网络时间协议 (Network Time Protocol, NTP) 软件或 rdate 命令可确保所有 SGD 主机上的时钟保持同步。

2.1.8. SGD Web 服务器

SGD Web 服务器包含预配置的供 SGD 使用的一个 Apache Web 服务器以及一个 Tomcat JavaServer Pages (JSP) 技术容器。

SGD Web 服务器包含多个组件。下表列出了最近发行版的 SGD 的 Web 服务器组件版本。

组件名称

SGD 版本-4.63

SGD 版本 4.62

SGD 版本 4.61

SGD 版本 4.60

Apache HTTP Server

2.2.24

2.2.21

2.2.17

2.2.16

OpenSSL

1.0.0.k

1.0.0.e

1.0.0.d

1.0.0a

mod_jk

1.2.37

1.2.32

1.2.31

1.2.27

Apache Jakarta Tomcat

6.0.36

6.0.33

6.0.32

6.0.29

Apache Axis

1.4

1.4

1.4

1.4

Apache Web 服务器包括所有标准的 Apache 模块作为共享对象。

用于 Tomcat JSP 技术容器的最小 Java 虚拟机 (Java Virtual Machine, JVM) 软件堆大小为 256 兆字节。

2.1.9. 支持的验证机制

以下是 SGD 支持的用于验证用户的机制:

  • 轻量目录访问协议 (Lightweight Directory Access Protocol, LDAP) 版本 3

  • Microsoft Active Directory

  • 网络信息服务 (Network Information Service, NIS)

  • Microsoft Windows 域

  • RSA SecurID

  • Web 服务器验证(HTTP/HTTPS 基本验证),包括公钥基础结构 (public key infrastructure, PKI) 客户端证书

2.1.9.1. 支持的 Active Directory 版本

支持基于以下版本的 Active Directory 进行 Active Directory 验证和 LDAP 验证:

  • Windows Server 2003

  • Windows Server 2003 R2

  • Windows Server 2008

  • Windows Server 2008 R2

2.1.9.2. 支持的 LDAP 目录

SGD 支持标准 LDAP 协议版本 3。您可以对任何符合 LDAP 版本 3 的目录服务器使用 LDAP 验证。不过,SGD 仅支持以下目录服务器:

  • Oracle Directory Server Enterprise Edition 版本 6.3.1 和 7.0(之前称为 Sun Java Directory Server Enterprise Edition)

  • Windows Server 2003、2003 R2、2008 和 2008 R2 上的 Microsoft Active Directory

  • Novell eDirectory 版本 8.8

其他目录服务器可能可以运行,但是不受支持。

2.1.9.3. 支持的 SecurID 版本

SGD 可以与 RSA Authentication Manager(以前称为 ACE/Server)的版本 4、5、6 和 7 一起使用。

SGD 支持系统生成的 PIN 和用户创建的 PIN。

2.1.10. SSL 支持

SGD 支持 TLS 版本 1.0 和 SSL 版本 3.0。

SGD 支持保密性增强的电子邮件 (Privacy Enhanced Mail, PEM) Base-64 编码 X.509 证书。这些证书具有以下结构:

-----BEGIN CERTIFICATE-----

...certificate...

-----END CERTIFICATE-----

SGD 支持 SSL 证书的拥有者替代名称 (Subject Alternative Name, subjectAltName) 扩展。SGD 还支持对域名的第一部分使用 * 通配符,例如 *.example.com

SGD 包含对大量证书颁发机构 (Certificate Authority, CA) 的支持。/opt/tarantella/etc/data/cacerts.txt 文件中包含 SGD 所支持的所有 CA 证书的 X.500 标识名 (Distinguished Name, DN) 和 MD5 签名。需要额外配置才能支持由不受支持的 CA 所签名的 SSL 证书。支持中间 CA,但如果链中任一证书是由不受支持的 CA 签名的,则可能需要额外配置。

SGD 支持使用外部硬件 SSL 加速器,但需要额外配置。

SGD 支持以下密码套件:

  • RSA_WITH_AES_256_CBC_SHA

  • RSA_WITH_AES_128_CBC_SHA

  • RSA_WITH_3DES_EDE_CBC_SHA

  • RSA_WITH_RC4_128_SHA

  • RSA_WITH_RC4_128_MD5

  • RSA_WITH_DES_CBC_SHA

2.1.11. 打印支持

SGD 支持两种类型的打印:PDF 打印和打印机直接打印。

对于 PDF 打印,SGD 使用 Ghostscript 将打印作业转换为 PDF 文件。SGD 主机上至少必须安装 Ghostscript 的 6.52 版本。Ghostscript 分发必须包含 ps2pdf 程序。为获得最佳效果,请安装 Ghostscript 的最新版本。

SGD 支持打印机直接打印到 PostScript、打印机命令语言 (Printer Command Language, PCL) 以及连接到用户的客户端设备的仅文本打印机。SGD tta_print_converter 脚本针对客户端打印机执行正确格式化打印作业所需的任何转换。tta_print_converter 脚本使用 Ghostscript 从 Postscript 转换为 PCL。要支持此转换,必须在 SGD 服务器上安装 Ghostscript。为获得最佳效果,请下载并安装附加字体。

SGD 软件中不包含 Ghostscript。